打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

警惕!OpenSSL RSA远程代码执行漏洞风险通告
发布时间 :2022年07月07日
分享:

漏洞描述

近日,亚信安全CERT监控到OpenSSL存在远程代码执行漏洞(CVE-2022-2274),OpenSSL RSA组件中存在一处堆溢出漏洞,攻击者可以通过精心构造tls认证请求或其他认证行为来触发该漏洞,可能导致内存损坏或远程代码执行。


目前厂商已发布安全版本,亚信安全CERT建议使用OpenSSL的用户尽快采取相关措施。


OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。


漏洞编号

CVE-2022-2274


漏洞等级

高危


漏洞状态



微信截图_20220711101808.png

   


影响的版本

OpenSSL  3.0.4

注:3.0.5、1.1.1和1.0.2版本不受影响


利用条件

  • 使用2048位RSA私钥算法

  • 在支持X86_64架构的AVX512IFMA指令的机器上


修复建议

更新至安全版本:

OpenSSL 3.0.5版本 


下载地址:

https://github.com/openssl/openssl/releases/tag/openssl-3.0.5


(OpenSSL 1.1.1和1.0.2版本不受此漏洞影响)



参考链接

  • https://www.openssl.org/news/secadv/20220705.txt

  • https://github.com/openssl/openssl/releases/tag/openssl-3.0.5

分享到微信
X